ANNONSEBILAG FRA DEVSPACE

“Move fast and break things” — har vi egentlig råd til det nå?

Når AI-generert kode inneholder sårbarheter i 45 % av tilfellene, blir «move fast and break things» en risikosport. Her er spørsmålene du må stille for å sikre at fart ikke går på bekostning av sikkerhet.

Pavel Kurnosov (CTO devspace) Pavel Kurnosov (CTO devspace)
Publisert
ANNONSEBILAG FRA DEVSPACE

Det finnes en regel i Silicon Valley som har preget en hel generasjon teknologiprodukter: «Move fast and break things.» For det meste har det som ble ødelagt vært bagatellmessig. Med kunstig intelligens kan konsekvensene være av en helt annen størrelsesorden, og sikkerhet kan ikke lenger være en ettertanke.

Tallene er allerede her. Veracode testet over 100 KI-modeller på programmeringsoppgaver i 2025 og fant at 45 prosent av koden KI genererer inneholder sikkerhetssvakheter. Java-kode feiler 70 prosent av tiden. De mest grunnleggende websikkerhetskontrollene, som utviklere har kjent til i over 20 år, feiler rundt 86 prosent av tiden. Større modell eller nyere versjon? Hjalp ikke. Sikkerhetsscoren forble den samme.

CrowdStrike avdekket noe enda mer urovekkende: kinesiske KI-modeller som DeepSeek genererer kode som er 50 prosent mer sannsynlig til å inneholde sikkerhetsfeil når spørsmålet berører politisk sensitive emner. Sikkerheten i programvaren din kan altså avhenge av hvilket land som bygde KI-en som skrev den.

Koden fungerer, men er den sikker? Er koden rett? Vet vi egentlig hva vi slipper inn?

Appen uten lås på døren

Vibe-koding, å beskrive hva du vil ha og la KI-en bygge det uten programmeringserfaring, ble en av de største teknologitrendene i 2025. Tilgjengelig for alle, raskt og morsomt.

En tidlig bruker skrøt på X at han hadde bygget en abonnementstjeneste uten å være teknisk. Noen dager senere klaget han over at folk gikk rundt betalingsmuren. KI-en hadde bygget appen, men glemte å låse tilgangen. Analyser av tusenvis av slike applikasjoner viser at dette ikke er et unntak. Eksponerte passord, åpne databaser og personopplysninger som har blitt liggende fritt tilgjengelig.

Spørsmålene som hva kan gå galt her, og hvordan sikrer vi at de mest åpenbare feilene ikke skjer, ble aldri stilt.

Når KI-assistenten blir våpenet

Sikkerhetsforskere viste at en ondsinnet kommentar i et offentlig GitHub-issue kan kapre en KI-assistent til å hente data fra private arkiver og publisere dem. Lønnsinformasjon, interne prosjektdetaljer, alt tilgjengelig fordi KI-en fulgte instruksjoner den ikke visste var ondsinnede.

KI-kodingsassistenter hallusinerer jevnlig pakkenavn som ikke eksisterer. Angripere overvåker disse hallusinasjonene, registrerer navnene og laster opp skadevare. Neste gang en utvikler følger KI-ens forslag og kjører «npm install», installerer vedkommende en bakdør uten å vite det.

Og så er det Microsoft, som nedbemannet 15 000 ingeniører i 2025 for å finansiere KI. Samme år: 1 129 sikkerhetsfeil i Windows, rekord for andre år på rad. I desember innrømmet selskapet at Windows hadde «sporet av». Kodekvantitet er ikke det samme som kodekvalitet.

Spørsmålene som burde blitt stilt ble rett og slett ikke stilt av noen med tyngde nok til å forstå svarene.

Spørsmålene som faktisk bør stilles

Valget av KI-modell, plattform eller leverandør er et teknisk og strategisk valg, ikke bare et budsjettspørsmål. Noen spørsmål bør alltid stilles tidlig:

  1. Hvilke data prosesseres, og av hvem?
  2. Hva skjer med koden som genereres?
  3. Hvem eier resultatet?
  4. Har vi vurdert sikkerhetsrisikoen?
  5. Hvem hos oss har kompetansen til å gjøre den vurderingen?
  6. Hvordan integreres det med resten av infrastrukturen?
  7. Hva skjer den dagen vi vil bytte?

Disse spørsmålene stilles sjelden tidlig nok, og sjelden av noen med innsikt til å vite hva svarene betyr for virksomheten.

Sikkerhet er ikke et spørsmål. Det er en investering.

Å ta KI i bruk på en forsvarlig måte krever reell prioritering: Å tenke gjennom arkitektur og sikkerhet før man deployer, ikke etter. Og å ha mennesker med riktig kompetanse involvert tidlig, ikke som en brems, men som en forutsetning for at det dere bygger faktisk holder.

En god teknisk leder sørger for at spørsmålene stilles og at svarene fører til handling.

Hos Devspace hjelper vi virksomheter med nettopp dette, som med Fractional CTO, teknisk rådgiver eller sparringspartner som stiller spørsmålene på det tidspunktet de burde bli stilt. For å sikre sikkerhet og fart, ikke bare fart.

«Move fast and break things» var en god regel da det som ble ødelagt var bagatellmessig. Å bevege seg raskt uten å investere i sikkerhet er ikke effektivitet, det er å utsette en regning som alltid blir dyrere jo lenger du venter. Kanskje vi heller skal si:

Move fast — but invest in getting it right.

Har dere en erfaren teknisk stemme internt når dere tar KI-beslutninger?

Vi kan bistå, ta en uformell prat med oss.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Om Devspace

Devspace er et skandinavisk teknologiselskap som hjelper virksomheter med å bygge digitale løsninger de selv eier og kontrollerer. Selskapet tilbyr utviklingskompetanse, Fractional CTO-tjenester og teknisk due diligence.

Lyst å ta en uformell prat om dine løsninger?

Kontakt: post@devspace.no 

Les mer: devspace.no/cases | devspace.no/blog

Les mer:

devspace

devspace bilag